銀行と事業者 連携に穴(ゆうちょ、不正被害6000万円)


日経新聞令和2年9月25日付記事です。ゆうちょ銀はドコモ口座での不正引出しが約380件、6千万円になったと発表しました。最も古い被害は2017年7月だそうです。記者会見でゆうちょ銀よりも先に高市総務大臣が公表したことについて問われた池田社長が、「少しでも早く公表すべきだったと反省している」と述べたそうです。最初の事案の時に公表していれば、被害の殆どは防げていた筈です。メディアは二重認証していないと責めますが、事案を隠していたこと、または、気付いていなかったことの方が、セキュリティ・チェックの多重性云々よりも罪が重い。自行の利用者だけでなく、他行利用者にも被害が拡がってしまった。仮に他行での被害がゆうちょ銀より先にあったとしても、その罪が軽くなることはないでしょう。武漢での新型コロナ発症における中国政府の対応と同じ構図です。もっとも、この件に関しては、ゆうちょ銀よりもドコモの方が、責められるべきでして、銀行はNTTグループが相手だということで声を上げていませんが、本音では「あんたを信じた自分が馬鹿だった。もう信じないから。」と思っています。

この記事では、SBI証券での顧客資金流出事件についても触れています。こちらも、SBI証券の口座情報が窃取され、ゆうちょ銀と三菱UFJ銀の同姓同名架空口座経由で株式売却資金が盗まれました。この架空口座の開設手続はネットで行なわれており、本人確認は顔写真のない本人確認書類が使われているそうです。顔写真付きであっても偽造は難しくありませんが、犯人の顔が割れるリスクが高まる。その点、健康保険証などは、何とでも偽造してイメージデータを送れます。もともと、そのリスクのあることが危惧されていましたが、公的な本人確認手続に準じた方法なので、金融機関としては今更責められてもといったところでしょう。それよりも、窃取された証券口座から偽造された預金口座への資金移動に際して、同姓同名であれば、送金可能であることです。そこで、記事の見出しである「銀行と事業者 連携に穴」ということになったのでしょう。

記事を書いた上田記者は、「異業種で手を組んで利便性の高いサービスを提供する筈が、連携で危険性まで一緒に高まっていた。」と書いています。その通りです。ICTシステムだけでなく、製造であろうが、交通であろうが、医療であろうが、不具合は連結部分で起きることが圧倒的に多い。特に異組織間であれば、齟齬や欠落の起きる可能性が高まるのが自然です。二者のどちらか、または、第三者が主導権を持って全体を通したリスク検証を行なう必要があります。銀行としては、相手がフィンテック・ベンチャーであれば、メディアや行政にベンチャーいじめと言われようが、相手を信用しきっていませんから、徹底的に確認したでしょう。ところが、今回は相手が電電公社です。ゆうちょ銀にとっては、同族企業であり、IT丸投げ先です。地方銀行としても、「おたくは大丈夫でしょうね、どのようにチェックしているのですか?」とは聞ける相手ではなかったのでしょう。いずれにせよ、Web口座振替サービス経由で問題がないと思っていたのに、3年も前から被害が出ていたと知った地銀などは、ハラワタが煮えくり返っていることでしょう。

筆者は銀行に対して、非金融機関のコンプラやセキュリティ、システム品質に対する認識が、金融機関とはまるで違うことを常々警告しています。だから高いのだ、遅いのだと言われて困るならば、どこまで妥協するのか見える化した上で、双方の責任分界と事案発生時の対応方法を決めておくように奨めます。公的機関の決済関連有識者会議に参加していた時のことです。著名な学者や行政経験者が競うように、海外で見て来た決済サービスを紹介します。例えばスマホ送金です。メールアドレス間で送金します。「こんな便利なサービスが発展途上国で普及している。日本は遅れすぎだ。」と言うのです。正気か?と思うのですが、そうも言えません。ですから、「日本では殆どの国民が預金口座を保有しているので、スマホ決済のニーズは切実ではないだろう。貴方の奥さんや息子さんは使いたがっていますか?リスクの高いスマホ送金をやるのなら、自己責任を前提としないと、銀行には無理です。銀行に強制するのであれば預金者保護法の対象外にすべきだ。」と意見を述べます。すると、なんと守旧的な奴かという目で見られます。そうした方々が、今回のような事件が起きると、銀行はもっとセキュリティをしっかりすべきだと言う。こうした態度で最も性質の悪いのがマスコミです。相反する主張、要求を利用者目線ということで平気で煽ります。

読者は正確な全体像を知らないままに、新聞やテレビが言うのだからと右往左往します。これで、地に足のついたキャッシュレスなんぞ、到底無理です。しまいには、銀行すら信じられないとして、口座振替など止める運動が起きるかもしれない。携帯料金は家に取りに来いと言えばよい。それより先に、銀行が小口決済から撤退したらとも思うのです。なんで、こんな面倒で儲からんことに精力と資金を投入しなくてはならんのか?それもオーバーバンキングといい加減なことを言われながら。金融庁が業務規制を緩和してくれるのは結構ですが、撤退規制も緩和したら良いでしょう。やたらと広げさせられて、責任ばかり増えるのは溜まらないだろうと思うのです。

要は、利便性とセキュリティのバランスだけでなく、投資効果とコストのバランスを合わせた判断となります。それを多くの提供者側が一律に同じ判断するとは思えません。とすれば、各社がバランス判断の基準を開示して、@当社の決済はこんなに便利ですが、こういうリスクがあります。それを回避したければ、保険に入って下さいとか、A当社は徹底したセキュリティを施しています。万一、被害に遭われたら補償します。サービス料金は少々お高いですと利用者に選択させれば良い。小口の資金移動ビジネスでそんなことをやってられるかと止めても良い。今回のドコモ口座事件で500件、1億円の被害が出たとしても、それは簡便方式でコストを抑制した対価と割り切って、「メディアや行政は、こんな小さな事案とキャッシュレス政策とどっちが重要なのか?」と銀行協会が居直ったら面白いだろうなと思っています。

 

                             (令和2年9月25日 島田 直貴)